Решена Посмотрите, пожалуйста, логи.

Тема в разделе "Лечение компьютерных вирусов", создана пользователем ozz747, 14 апр 2010.

Статус темы:
Закрыта.
  1. ozz747
    Оффлайн

    ozz747 Активный пользователь

    Сообщения:
    10
    Симпатии:
    16
    Здравствуйте! Суть проблемы в том, что при загрузке системы открывается папка "Мои документы" и процесс syscr.exe грузит процессор на 100%.
     

    Вложения:

    • logi.zip
      Размер файла:
      53,4 КБ
      Просмотров:
      3
    Последнее редактирование: 14 апр 2010
  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.450
    Симпатии:
    13.950
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\DOCUME~1\anton\LOCALS~1\Temp\mcjzmk.exe','');
     QuarantineFile('C:\WINDOWS\system32\cda73942.exe','');
     QuarantineFile('c:\recycler\s-1-5-21-5696832281-0176001093-571042467-2978\syscr.exe','');
     DeleteFile('c:\recycler\s-1-5-21-5696832281-0176001093-571042467-2978\syscr.exe');
     DeleteFile('C:\DOCUME~1\anton\LOCALS~1\Temp\mcjzmk.exe');
     BC_ImportALL;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

    Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

    Повторите логи.
     
    8 пользователям это понравилось.
  3. ozz747
    Оффлайн

    ozz747 Активный пользователь

    Сообщения:
    10
    Симпатии:
    16
    Новые логи.
     

    Вложения:

    • logi2.zip
      Размер файла:
      52,1 КБ
      Просмотров:
      2
    4 пользователям это понравилось.
  4. icotonev
    Оффлайн

    icotonev Ассоциация VN

    Сообщения:
    1.406
    Симпатии:
    1.641
    Привет!:hi: Cкачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.
     
    6 пользователям это понравилось.
  5. ozz747
    Оффлайн

    ozz747 Активный пользователь

    Сообщения:
    10
    Симпатии:
    16
    Через две-три секунды после запуска выдает "...gmer.exe - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства..."
    Что делать?
     
    2 пользователям это понравилось.
  6. ТроПа
    Оффлайн

    ТроПа Активный пользователь

    Сообщения:
    399
    Симпатии:
    738
    8 пользователям это понравилось.
  7. ozz747
    Оффлайн

    ozz747 Активный пользователь

    Сообщения:
    10
    Симпатии:
    16
    Аналогично. На том же самом месте, по ощущениям. Сначала как бы приостанавливается на долю секунды, а потом сообщение об ошибке.
     
  8. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.450
    Симпатии:
    13.950
    Деинсталируйте свой эмулятор дисков. Его драйвер конфликтует с gmer.

    Добавлено через 2 часа 14 минут 32 секунды
    Карантин отправил в вирлаб.
     
    8 пользователям это понравилось.
  9. ozz747
    Оффлайн

    ozz747 Активный пользователь

    Сообщения:
    10
    Симпатии:
    16
    Добрый день! Выкладываю лог gmer.exe.
     

    Вложения:

    • gmer.log
      Размер файла:
      36,6 КБ
      Просмотров:
      10
    2 пользователям это понравилось.
  10. iskander-k
    Оффлайн

    iskander-k Команда форума Супер-Модератор Ассоциация VN/VIP Преподаватель

    Сообщения:
    3.733
    Симпатии:
    3.260
    Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится gmer.exe
    Код (Text):

    gmer.exe -del service mtebj
    gmer.exe -del file "C:\WINDOWS\system32\qmqyh.dll"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\mtebj"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\mtebj"
    gmer.exe -reboot
     
    И запустите сохранённый пакетный файл cleanup.bat.
    Внимание: Компьютер перезагрузится!
    Сделайте новый лог gmer
     
    8 пользователям это понравилось.
  11. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.450
    Симпатии:
    13.950
    Получил результат анализа карантина:
    syscr.exe - P2P-Worm.Win32.Palevo.aaso
     
    6 пользователям это понравилось.
  12. ozz747
    Оффлайн

    ozz747 Активный пользователь

    Сообщения:
    10
    Симпатии:
    16
    При запуске cleanup.bat выдал три раза ошибку: "неверный дескриптор".
    Логи сделал заново и прилагаю.

    Посоветуйте, пожалуйста, что же с ним делать?
     

    Вложения:

    • gmer.log
      Размер файла:
      34,5 КБ
      Просмотров:
      8
    2 пользователям это понравилось.
  13. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.470
    Симпатии:
    3.097
    Файл, содержащий P2P-Worm.Win32.Palevo.aaso, Вам уже удалили.

    Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe (gmer)
    Код (Text):
    gmer.exe -del service qzkgixpo
    gmer.exe -del file "C:\WINDOWS\system32\qmqyh.dll"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\qzkgixpo"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\qzkgixpo"
    gmer.exe -reboot
    И запустите cleanup.bat.
    Компьютер перезагрузится!

    Сделать новый лог gmer.
     
    4 пользователям это понравилось.
  14. ozz747
    Оффлайн

    ozz747 Активный пользователь

    Сообщения:
    10
    Симпатии:
    16
    Новые логи.
     

    Вложения:

    • 1.JPG
      1.JPG
      Размер файла:
      34,2 КБ
      Просмотров:
      6
    • gmer3.log
      Размер файла:
      26,8 КБ
      Просмотров:
      3
  15. icotonev
    Оффлайн

    icotonev Ассоциация VN

    Сообщения:
    1.406
    Симпатии:
    1.641
    Лог Gmer - чистый!Пожалуйста, выполните рекомендации(т.2 и т.3) и прикрепите к следующему сообщению полученные логи для анализа!Незабудьте обновить базы!


    И что с проблемой?:)
     
    Последнее редактирование: 15 апр 2010
    4 пользователям это понравилось.
  16. ozz747
    Оффлайн

    ozz747 Активный пользователь

    Сообщения:
    10
    Симпатии:
    16
    Новый пакет логов.

    Первоначальные проблемы решены (см. первый пост). Но не дает покоя то, что звук у вентилятора процессора такой, как будто сам процессор работает на полную мощность (у меня ноутбук, это очень хорошо заметно, обычно - когда все программы выключены. вентилятор не шумит). И диспетчер задач показывает загрузку процессора 0%, раньше такого никогда не видел. Но, может, я просто излишне переживаю.
     

    Вложения:

    • logi3.zip
      Размер файла:
      50,9 КБ
      Просмотров:
      3
    Последнее редактирование: 15 апр 2010
    2 пользователям это понравилось.
  17. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.450
    Симпатии:
    13.950
    Пофиксить в HijackThis следующие строчки
    Код (Text):

    R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
    R3 - URLSearchHook: (no name) - - (no file)
    Больше ничего вредоносного в логах не вижу.

    Добавлено через 56 секунд
    Почистим следы:
    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение.
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
     
    6 пользователям это понравилось.
  18. ozz747
    Оффлайн

    ozz747 Активный пользователь

    Сообщения:
    10
    Симпатии:
    16
    Большое спасибо всем за помощь!
    Проблема решена!

    P.S. заметил новые рекомендации. Сейчас выполню.
     
    4 пользователям это понравилось.
  19. icotonev
    Оффлайн

    icotonev Ассоциация VN

    Сообщения:
    1.406
    Симпатии:
    1.641
    Будьте живы и здоровы и не забудьте визит наш ресурс VirusNet.info
     
    6 пользователям это понравилось.
  20. ozz747
    Оффлайн

    ozz747 Активный пользователь

    Сообщения:
    10
    Симпатии:
    16
    Windows 5.1.2600 Service Pack 2
    Internet Explorer 6.0.2900.2180

    16.04.2010 1:00:08
    mbam-log-2010-04-16 (01-00-08).txt

    Тип сканирования: Полное сканирование (C:\|D:\|)
    Просканированные объекты: 164522
    Времени прошло: 34 минут, 41 секунд

    Зараженные процессы в памяти: 0
    Зараженные модули в памяти: 0
    Зараженные ключи в реестре: 0
    Зараженные параметры в реестре: 0
    Объекты реестра заражены: 3
    Зараженные папки: 3
    Зараженные файлы: 12

    Зараженные процессы в памяти:
    (Вредоносных программ не обнаружено)

    Зараженные модули в памяти:
    (Вредоносных программ не обнаружено)

    Зараженные ключи в реестре:
    (Вредоносных программ не обнаружено)

    Зараженные параметры в реестре:
    (Вредоносных программ не обнаружено)

    Объекты реестра заражены:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

    Зараженные папки:
    C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> Quarantined and deleted successfully.
    C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859 (Worm.AutoRun) -> Quarantined and deleted successfully.
    C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455 (Worm.AutoRun) -> Quarantined and deleted successfully.

    Зараженные файлы:
    C:\Program Files\WebMoney\WebMoney.exe (Spyware.WebMoney) -> Not selected for removal.
    D:\дистрибутив\HD-Tune-Pro-3.10\HD Tune Pro 3.10\Crack\Patch.exe (Trojan.Downloader) -> Not selected for removal.
    D:\игры\Crimsonland\кримсоланд\Crimsonland_v1.9.8_by_ByteSquad\Crimsonland198.exe (Trojan.Bancos) -> Not selected for removal.
    D:\игры\trainer\Zzed\+6\pztrain.exe (Malware.Packer.Gen) -> Not selected for removal.
    D:\Downloads\Борьба с вирями\avz4\avz4\Quarantine\2010-04-12\avz00001.dta (Trojan.Dropper) -> Quarantined and deleted successfully.
    D:\Downloads\Борьба с вирями\avz4\avz4\Quarantine\2010-04-13\avz00001.dta (Trojan.Dropper) -> Quarantined and deleted successfully.
    D:\Downloads\Борьба с вирями\avz4\avz4\Quarantine\2010-04-14\avz00001.dta (Trojan.Dropper) -> Quarantined and deleted successfully.
    D:\Downloads\Борьба с вирями\avz4\avz4\Quarantine\2010-04-14\bcqr00005.dta (Trojan.Dropper) -> Quarantined and deleted successfully.
    D:\Downloads\Борьба с вирями\avz4\avz4\Quarantine\2010-04-14\bcqr00006.dta (Trojan.Dropper) -> Quarantined and deleted successfully.
    C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini (Trojan.Agent) -> Quarantined and deleted successfully.
    C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859\Desktop.ini (Worm.AutoRun) -> Quarantined and deleted successfully.
    C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\Desktop.ini (Worm.AutoRun) -> Quarantined and deleted successfully.
     
Статус темы:
Закрыта.

Поделиться этой страницей